1. INLEIDING
1.1 Toepassingsgebied
Het toepassingsgebied van het Privacybeleid van Grip Verzuimservice is als volgt geformuleerd.
1.1 Toepassingsgebied
Het toepassingsgebied van het Privacybeleid van Grip Verzuimservice is als volgt geformuleerd.
Scope en omvang van ons Privacybeleid:
Grip Verzuimservice is een arbodienst als bedoeld in artikel 14 van de Arbo-wet en het bieden van ondersteuning aan werkgevers in het kader van arbo, verzuim en re-integratie”. Onze belangrijkste taken zijn: verzuimbegeleiding, RI&E, PAGO, Preventief spreekuur en Aanstellingskeuringen.
Grip Verzuimservice wil als organisatie maatschappelijke verantwoordelijkheid dragen. Wij willen transparant zijn en aandacht geven aan de ethische, inhoudelijke en milieuaspecten. Grip Verzuimservice gaat bij de begeleiding van verzuimende medewerkers om met vertrouwelijke (medische) informatie. Wij willen onze medewerkers, klanten en haar medewerkers verregaande garanties bieden op de volgende onderwerpen:
Beschikbaarheid: waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen;
Integriteit: het waarborgen van de correctheid en de volledigheid van informatie en verwerking;
Vertrouwelijkheid: waarborgen dat informatie alleen toegankelijk is voor degenen, die hiertoe geautoriseerd zijn.
De omvang van ons managementsysteem geldt voor zowel de hoofdlocatie, spreekuur locaties bij klanten, applicaties, eigen en ingehuurde medewerkers. Ons Privacybeleid is gebaseerd op de ISO 27001: Informatiebeveiliging.
2. PRIVACYBELEID
2.1 Beleidsverklaring
De directeur van Grip Verzuimservice acht de zorg voor de kwaliteit van haar diensten en van haar dienstverlening en de borging hiervan in het kwaliteitssysteem van groot belang en geeft dit binnen de gehele organisatie hoge prioriteit.
Het managementsysteem is gericht op het borgen en continu verbeteren van onze kwaliteit en op het uitvoeren van onze activiteiten binnen het systeem van wet- en regelgeving passend binnen de normen van NEN-EN-ISO 9001-2015 en 27001.
Het Privacybeleid valt onder de eindverantwoordelijkheid van de directeur en wordt jaarlijks getoetst in de directeurbeoordeling. Door regelmatige evaluatie en het vaststellen van verbeteracties neemt de directeur haar verantwoordelijkheid voor kwaliteit in een continue verbetercirkel.
De kwaliteitscyclus wordt gedragen door alle medewerkers, waarbij iedere medewerker verantwoordelijk is voor de realisatie van de doelstellingen binnen het eigen verantwoordelijkheidsgebied.
Grip Verzuimservice werkt met gemotiveerde professionals, die op een adequaat niveau worden gefaciliteerd. Zij conformeren zich bij hun beroepsuitoefening aan het professioneel statuut van hun beroepsgroep en/of het professioneel statuut van de brancheorganisatie.
Wij verwachten van iedere medewerker in dienst van Grip Verzuimservice dat zij beveiligingsincidenten, datalekken of andere risico’s direct melden aan de Functionaris Gegevensbescherming. Deze onderzoekt de melding en neemt samen met de directeur passende maatregelen.
Voorthuizen, 10 november 2021
Marij Marsden
Directeur/ Bedrijfsarts
2.2 Gegevensverwerkingen
Binnen Grip Verzuimservice hebben wij onze gegevensverwerkingen in kaart gebracht en gedocumenteerd in ons verwerkingsregister. Hierin staat welke persoonsgegevens wij verwerken en met welk doel wij dit doet, waar deze gegevens vandaan komen en met wie we ze delen.
2.1 Beleidsverklaring
De directeur van Grip Verzuimservice acht de zorg voor de kwaliteit van haar diensten en van haar dienstverlening en de borging hiervan in het kwaliteitssysteem van groot belang en geeft dit binnen de gehele organisatie hoge prioriteit.
Het managementsysteem is gericht op het borgen en continu verbeteren van onze kwaliteit en op het uitvoeren van onze activiteiten binnen het systeem van wet- en regelgeving passend binnen de normen van NEN-EN-ISO 9001-2015 en 27001.
Het Privacybeleid valt onder de eindverantwoordelijkheid van de directeur en wordt jaarlijks getoetst in de directeurbeoordeling. Door regelmatige evaluatie en het vaststellen van verbeteracties neemt de directeur haar verantwoordelijkheid voor kwaliteit in een continue verbetercirkel.
De kwaliteitscyclus wordt gedragen door alle medewerkers, waarbij iedere medewerker verantwoordelijk is voor de realisatie van de doelstellingen binnen het eigen verantwoordelijkheidsgebied.
Grip Verzuimservice werkt met gemotiveerde professionals, die op een adequaat niveau worden gefaciliteerd. Zij conformeren zich bij hun beroepsuitoefening aan het professioneel statuut van hun beroepsgroep en/of het professioneel statuut van de brancheorganisatie.
Wij verwachten van iedere medewerker in dienst van Grip Verzuimservice dat zij beveiligingsincidenten, datalekken of andere risico’s direct melden aan de Functionaris Gegevensbescherming. Deze onderzoekt de melding en neemt samen met de directeur passende maatregelen.
Voorthuizen, 10 november 2021
Marij Marsden
Directeur/ Bedrijfsarts
2.2 Gegevensverwerkingen
Binnen Grip Verzuimservice hebben wij onze gegevensverwerkingen in kaart gebracht en gedocumenteerd in ons verwerkingsregister. Hierin staat welke persoonsgegevens wij verwerken en met welk doel wij dit doet, waar deze gegevens vandaan komen en met wie we ze delen.
2.3 Risicoanalyse informatiebeveiliging
Binnen Grip Verzuimservice voeren wij periodiek een risicoanalyse uit op het gebied van informatiebeveiliging. De risicoanalyse wordt conform een vastgestelde methodiek uitgevoerd. Deze methode is een systeem voor het analyseren van het ontwerp van een product- of service om potentiële fouten te identificeren, en vervolgens stappen te ondernemen om deze tegen te gaan, of op zijn minst de risico’s hierop te minimaliseren.
Op basis van de risicobeoordeling hebben wij beheersmaatregelen genomen om het risico te beheersen/verkleinen. Na de doorvoering van de maatregelen hebben wij het risico nogmaals beoordeeld of het risico aanvaardbaar is of niet. Noodzakelijke maatregelen worden opgenomen in het verbeterregister. Aan de actie wordt een risicoverantwoordelijke en een deadline gekoppeld.
2.4 Audits van informatiesystemen
Om de doeltreffendheid van onze maatregelen en het systeem te beoordelen laten wij verschillende audits uitvoeren. De FG is verantwoordelijk voor de oorzaakanalyse van de geconstateerde tekortkomingen en voor het treffen van (corrigeerde of herstel) maatregelen om de geconstateerde tekortkomingen en de oorzaken daarvan op te lossen.
Audits die wij verrichten zijn:
Interne systeemaudits op het gehele Privacybeleid;
Penetratietesten op VISMA Verzuim;
Interne dossieraudits op medische termen.
Bij ingebruikname van een nieuw informatiesysteem wordt vooraf een DPIA opgesteld, conform onze eigen methodiek.
2.5 Beheer van Wetgeving
Grip Verzuimservice heeft aan de hand van de primaire processen vastgesteld welke normen er bewaakt dienen te worden. Criteria bij het vaststellen van deze bewaakte normen en wetten is dat er bij een verandering, de dienstverlening van onze organisatie aangepast dient te worden. De FG bewaakt de normen, zoals deze beschreven staan in het wet- en regelgeving register.
2.6 Datalekken
Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat Grip Verzuimservice direct een melding moet doen bij de Autoriteit Persoonsgegevens indien er sprake is van een datalek dat leidt tot een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens. In bepaalde situaties moet het datalek ook worden gemeld aan betrokkene (de persoon van wie de persoonsgegevens zijn gelekt) indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. In bijlage 8.5 hebben wij onze werkwijze bij (vermoede) datalekken vastgelegd.
2.7 Privacy by design & privacy by default
Bij de aanschaf applicaties, ontwikkelen van producten en diensten is privacy een belangrijke weegfactor (Privacy by design). Er wordt vooraf een analyse gemaakt welke persoonsgegevens noodzakelijk zijn en hoe deze beschermd kunnen/moeten worden, met wie ze gedeeld worden en wat de bewaartermijn is. We voeren dit uit conform ons procedure management off change uit het ISO 9001 handboek.
Privacy by default houdt in dat wij technische en organisatorische maatregelen genomen hebben om ervoor te zorgen dat wij, als standaard, alléén persoonsgegevens verwerken die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. De voorbeelden binnen Grip Verzuimservice zijn:
Website (cookiebeleid)
Nieuwsbrief (describe functie aangebracht)
We hebben geen positieve registratie van medewerkers die niet verzuimen. De volledige gegevens worden opgeslagen in een medewerkers Cloud. Pas bij een ziekmelding wordt deze naar onze digitale verzuimapplicatie (VISMA Verzuim) doorgeleid.
In zowel het medisch als het taak-delegatie dossier worden uitsluitend gegevens opgenomen die noodzakelijk zijn voor een goede verzuim- en re-integratiebegeleiding.
3. VEILIG PERSONEEL
3.1 Interne organisatie
Binnen Grip Verzuimservice is de directeur eindverantwoordelijk voor alle activiteiten die gericht zijn op privacy. De taak van Functionaris Gegevensbescherming is beschreven in een rolprofiel. De FG is aangemeld bij Autoriteit Persoonsbescherming (AP) en heeft rechtstreeks toegang tot de directeur.
3.1 Interne organisatie
Binnen Grip Verzuimservice is de directeur eindverantwoordelijk voor alle activiteiten die gericht zijn op privacy. De taak van Functionaris Gegevensbescherming is beschreven in een rolprofiel. De FG is aangemeld bij Autoriteit Persoonsbescherming (AP) en heeft rechtstreeks toegang tot de directeur.
3.2 Werknemers
Bij het aannemen van nieuwe medewerkers (zowel intern als externe) is privacy een belangrijk aandachtspunt. Bij aanname en inhuur van alle artsen wordt het BIG-register gecontroleerd op aantekeningen.
3.2.1 Voorafgaand aan het dienstverband of overeenkomst
Bij het aannemen van de organisatie is privacy een belangrijk proces. Bij aanname en inhuur van alle artsen wordt het BIG-register gecontroleerd op aantekeningen.
Bij het aannemen van nieuwe medewerkers (zowel intern als externe) is privacy een belangrijk aandachtspunt. Bij aanname en inhuur van alle artsen wordt het BIG-register gecontroleerd op aantekeningen.
3.2.1 Voorafgaand aan het dienstverband of overeenkomst
Bij het aannemen van de organisatie is privacy een belangrijk proces. Bij aanname en inhuur van alle artsen wordt het BIG-register gecontroleerd op aantekeningen.
3.2.2 Tijdens het dienstverband
Inwerkprogramma
Bij het inwerken van nieuwe medewerkers is het onderdeel privacy een onderdeel van het inwerktraject. Men tekent bij aanname een ICT overeenkomst en de gedragscode privacy. Hierin staan de spelregels voor privacy. Dit is een verantwoordelijkheid van de direct leidinggevende van de medewerker. Ook voor tijdelijk personeel zoals freelancers, stagiaires en ingehuurde externe personen is het tekenen van deze verklaring, voor aanvang van hun werkzaamheden, verplicht. De getekende ICT-overeenkomsten worden gearchiveerd in het personeelsdossier.
Bewustzijn, opleiding en training
Grip Verzuimservice draagt zorg voor het op peil houden van de relevante kennis op het gebied van informatiebeveiliging. Hieronder vallen de beveiligingseisen, wettelijke verplichtingen en bedrijfsmaatregelen. Belangrijk onderdeel is de awareness (bewustwording) op het gebied van privacywetgeving. Wij vragen hier minimaal tweemaal per jaar aandacht voor door middel van een informatiemail of tijdens het overleg met onze professionals. De FG is verantwoordelijk voor het opstellen en versturen van de awareness mail.
3.2.3 Beëindiging dienstverband
Voor uitdiensttreding van medewerkers hebben wij een proces opgesteld. Belangrijkste doelstelling is dat alle ICT-toegangen (logisch en fysiek) geblokkeerd worden, zodat een vertrekkende medewerker geen toegang meer heeft tot privacygevoelige informatie. De uitdiensttreding wordt uitgevoerd en vastgelegd conform het exit-formulier.
Inwerkprogramma
Bij het inwerken van nieuwe medewerkers is het onderdeel privacy een onderdeel van het inwerktraject. Men tekent bij aanname een ICT overeenkomst en de gedragscode privacy. Hierin staan de spelregels voor privacy. Dit is een verantwoordelijkheid van de direct leidinggevende van de medewerker. Ook voor tijdelijk personeel zoals freelancers, stagiaires en ingehuurde externe personen is het tekenen van deze verklaring, voor aanvang van hun werkzaamheden, verplicht. De getekende ICT-overeenkomsten worden gearchiveerd in het personeelsdossier.
Bewustzijn, opleiding en training
Grip Verzuimservice draagt zorg voor het op peil houden van de relevante kennis op het gebied van informatiebeveiliging. Hieronder vallen de beveiligingseisen, wettelijke verplichtingen en bedrijfsmaatregelen. Belangrijk onderdeel is de awareness (bewustwording) op het gebied van privacywetgeving. Wij vragen hier minimaal tweemaal per jaar aandacht voor door middel van een informatiemail of tijdens het overleg met onze professionals. De FG is verantwoordelijk voor het opstellen en versturen van de awareness mail.
3.2.3 Beëindiging dienstverband
Voor uitdiensttreding van medewerkers hebben wij een proces opgesteld. Belangrijkste doelstelling is dat alle ICT-toegangen (logisch en fysiek) geblokkeerd worden, zodat een vertrekkende medewerker geen toegang meer heeft tot privacygevoelige informatie. De uitdiensttreding wordt uitgevoerd en vastgelegd conform het exit-formulier.
4. BEHEER VAN BEDRIJFSMIDDELEN
4.1 Verantwoordelijkheid voor bedrijfsmiddelen
Grip Verzuimservice houdt een registratie bij van alle betrokken hardware, software en randapparatuur. Alle ICT-bedrijfsmiddelen die gebruikt worden binnen Grip Verzuimservice worden vastgelegd in een ICT-overeenkomst. In deze overeenkomst wordt vastgelegd welk middel, serienummer, type aan welke persoon wordt uitgegeven. Alle medewerkers zijn verplicht om de ICT-overeenkomst te tekenen en alle apparatuur na beëindiging van het dienstverband te retourneren. De ICT-overeenkomsten worden gearchiveerd in het personeelsdossier.
4.1 Verantwoordelijkheid voor bedrijfsmiddelen
Grip Verzuimservice houdt een registratie bij van alle betrokken hardware, software en randapparatuur. Alle ICT-bedrijfsmiddelen die gebruikt worden binnen Grip Verzuimservice worden vastgelegd in een ICT-overeenkomst. In deze overeenkomst wordt vastgelegd welk middel, serienummer, type aan welke persoon wordt uitgegeven. Alle medewerkers zijn verplicht om de ICT-overeenkomst te tekenen en alle apparatuur na beëindiging van het dienstverband te retourneren. De ICT-overeenkomsten worden gearchiveerd in het personeelsdossier.
4.2 Informatieclassificatie
Voor het goed functioneren van Grip Verzuimservice is het omgaan met informatie van groot belang. Echter niet alle informatie is vertrouwelijk. Dus is het niet erg gebruiksvriendelijk om niet vertrouwelijke informatie net zo streng te beschermen als hoog vertrouwelijke informatie. De onderstaande klasse-indeling, wordt bij Grip Verzuimservice gebruikt:
Voor het goed functioneren van Grip Verzuimservice is het omgaan met informatie van groot belang. Echter niet alle informatie is vertrouwelijk. Dus is het niet erg gebruiksvriendelijk om niet vertrouwelijke informatie net zo streng te beschermen als hoog vertrouwelijke informatie. De onderstaande klasse-indeling, wordt bij Grip Verzuimservice gebruikt:
Beveiligingsklasse ‘standaard’
De classificatie geeft geen aanleiding tot extra maatregelen. De classificatie standaard betekent dat de betreffende informatie moet voldoen aan de minimale eisen.
Beveiligingsklasse ‘gevoelig’
De classificatie gevoelig betekent dat een inbreuk op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie een verstoring veroorzaakt in een van de primaire processen, maar niet van zeer ernstige of onomkeerbare aard. Ook mogelijke negatieve effecten voor het imago van Grip Verzuimservice kunnen aanleiding zijn om een classificatie gevoelig toe te kennen. De classificatie gevoelig brengt dus extra verplichtingen met zich mee.
Beveiligingsklasse ‘kritiek’
De classificatie kritiek wordt gereserveerd voor die informatie waarbij aantasting van beschikbaarheid, integriteit en vertrouwelijkheid een zeer ernstige of onomkeerbare verstoring van een van de primaire processen veroorzaken, ernstige schade toebrengt aan het imago van Grip Verzuimservice of een wetsovertreding inhoudt.
Bij de analyse van onze informatie hebben wij de business impact beoordeeld op een 5-puntschaal:
1. Verwaarloosbaar.
2. Geringe schade.
3. Belangrijke schade.
4. Ernstige schade.
5. Bedreigt het voortbestaan van de instelling.
Bij de analyse van onze informatie hebben wij de business impact beoordeeld op een 5-puntschaal:
1. Verwaarloosbaar.
2. Geringe schade.
3. Belangrijke schade.
4. Ernstige schade.
5. Bedreigt het voortbestaan van de instelling.
Ons classificatieschema:
Om niet elke keer opnieuw de exercitie te hoeven doen welke maatregelen getroffen moeten worden is er een matrix gedefinieerd waarin iedere classificatie automatisch gekoppeld wordt aan een set maatregelen. Deze maatregelen zijn op hoofdlijnen gedefinieerd en laten ruimte als het gaat om de gedetailleerde invulling. De gedefinieerde maatregelen zijn operationeel.
4.3 Beheer van media
Wanneer een harde schijf of een laptop uit productie wordt genomen dienen de volgende stappen te worden ondernomen i.v.m. met datavernietiging:
Wanneer een harde schijf of een laptop uit productie wordt genomen dienen de volgende stappen te worden ondernomen i.v.m. met datavernietiging:
5. TOEGANGSBEVEILIGING
5.1 Beleid voor toegangsbeveiliging
Binnen Grip Verzuimservice hebben wij een specifieke proces opgesteld voor het toekennen van specifieke rechten (autorisaties). Deze rechten zijn opgenomen in de autorisatietabel van bijlage 8.1.
De volgende eisen worden gesteld aan de registratie van gebruikers in VISMA Verzuim:
5.1 Beleid voor toegangsbeveiliging
Binnen Grip Verzuimservice hebben wij een specifieke proces opgesteld voor het toekennen van specifieke rechten (autorisaties). Deze rechten zijn opgenomen in de autorisatietabel van bijlage 8.1.
De volgende eisen worden gesteld aan de registratie van gebruikers in VISMA Verzuim:
Gebruikers moeten beschikken over een unieke gebruikersidentificatie (ID) zodat gebruikers gekoppeld kunnen worden aan en verantwoordelijk kunnen gesteld voor hun handelingen.
Gebruikers kunnen alleen inloggen middels tweefactorauthenticatie.
Er moet worden gewaarborgd dat autorisatieniveaus van gebruikers passen bij het autorisatieschema uit bijlage 8.1.
Autorisaties van personen die van functie zijn veranderd of de organisatie hebben verlaten worden onmiddellijk verwijderd;
Er vindt een periodieke controle plaats op overtollige gebruikers-ID's en accounts.
5.2 Toegangsbeveiliging van systeem en toepassing
Om de rechten toe te kennen hebben wij een aparte autorisatieprocedure opgesteld (zie bijlage 8.3).
5.2.1 Beperking van toegang tot informatie verzuimsystemen
De volgende eisen worden gesteld aan de registratie van gebruikers in VISMA Verzuim.
Gebruikers moeten beschikken over een unieke gebruikersidentificatie (ID) zodat gebruikers gekoppeld kunnen worden aan en verantwoordelijk kunnen gesteld voor hun handelingen.
Er moet worden gewaarborgd dat autorisatieniveaus van gebruikers passen bij het autorisatieschema uit bijlage 8.1.
Autorisaties van personen die van functie zijn veranderd of de organisatie hebben verlaten worden onmiddellijk verwijderd;
Er vindt een periodieke controle plaats op overtollige gebruikers-ID's en accounts.
5.2.2 Systeem voor wachtwoordbeheer
De volgende eisen worden door Grip Verzuimservice opgesteld aan het gebruik en beheer van wachtwoorden:
Wachtwoorden dienen nooit in onbeveiligde vorm in de applicatie worden opgeslagen.
- gebruikers dienen te worden verplicht om een verklaring te ondertekenen dat zij hun persoonlijke wachtwoorden geheim zullen houden;
- gebruikers dienen te worden verzocht wachtwoorden niet op papier vast te leggen;
- wanneer gebruikers hun eigen wachtwoord dienen te onderhouden, krijgen ze initieel de beschikking over een beveiligd tijdelijk wachtwoord dat onmiddellijk (bij Windows de volgende dag) dient te worden gewijzigd. Tijdelijke wachtwoorden zijn nodig wanneer een nieuwe gebruiker wordt geregistreerd of wanneer een gebruiker zijn wachtwoord vergeet en dienen pas te worden verstrekt na een positieve identificatie van de gebruiker;
Het doorgeven van wachtwoorden via een derde of door middel van onbeveiligde elektronische berichten is niet toegestaan.
Gebruikers dienen wachtwoorden te veranderen zodra er aanwijzingen zijn dat het systeem of het wachtwoord gecompromitteerd is;
Wachtwoorden dienen te voldoen aan bepaalde vereisten betreffende de samenstelling en complexiteit. Het wachtwoord dient:
gemakkelijk te onthouden te zijn;
- niet gemakkelijk te raden te zijn of te verkrijgen door gebruik te maken van persoon gerelateerde informatie, zoals namen, telefoonnummers en geboortedata;
- geen opeenvolgende gelijke tekens te bevatten en niet uitsluitend uit numerieke of alfabetische tekens te bestaan.
- een geregistreerde historie te hebben, zodat eerder gebruikte wachtwoorden, bijvoorbeeld van de voorgaande 12 maanden, en hergebruik worden voorkomen;
Niet op het scherm te worden getoond wanneer deze wordt ingevoerd;
Gebruikers dienen wachtwoorden met regelmatige tussenpozen of op basis van het aantal malen dat men toegang tot het systeem heeft gehad te wijzigen (wachtwoorden voor autorisaties met speciale bevoegdheden (medisch dossier) dienen vaker te worden gewijzigd dan normale wachtwoorden) en hergebruik of rouleren van oude wachtwoorden te voorkomen;
Gebruikers dienen geen wachtwoorden te gebruiken in automatische inlogprocessen, bijvoorbeeld opgeslagen in een macro of onder een functietoets;
Wachtwoorden dienen in een versleutelde vorm te worden opgeslagen, waarbij gebruik dient te worden gemaakt van een één-weg (niet omkeerbaar) versleutelingsalgoritme;
De standaard wachtwoorden van leveranciers worden bij in gebruik name veranderd.
Het systeem dwingt af dat de wachtwoorden iedere 60 dagen worden veranderd.
5.3 Beleid voor logging
Doelstelling van logging bij Grip Verzuimservice is het verzamelen en beoordelen van systeemdata en waarschuwingen van bijvoorbeeld applicaties, netwerk infrastructuur en servers. Loggen is soms noodzakelijk om te kunnen voldoen aan een wettelijke eis, om bijvoorbeeld een audit op een systeem te doen. Onze verzuimapplicatie genereert loginformatie voor veel activiteiten, soms als normale statusmelding, soms als resultaat van een activiteit van een gebruiker of beheerder maar ook informatie als resultaat van onvoorziene omstandigheden of fouten. Een log beschrijft wat er gebeurt binnen het systeem.
Onze verzuimapplicatie heeft de volgende vormen van logging ingericht:
Onze verzuimapplicatie heeft de volgende vormen van logging ingericht:
technische-logging: in de technische logging zijn de gebeurtenissen opgenomen zoals het gebruik van technische- en functionele beheerfuncties, handelingen van beveiligingsbeheer, verstoringen in het proces en beveiligingsincidenten. Voorbeelden van beveiligingsincidenten zijn: De aanwezigheid van malware, resultaten van het testen op zwakheden of vulnerabilities, foutieve inlogpogingen, overschrijding van autorisatiebevoegdheden, geweigerde pogingen om toegang te krijgen, het gebruik van niet operationele systeemservices en het starten en stoppen van Security Services.
audit-logging: de audit logging kan gebruikt worden om na te gaan of een ieder uitsluitend in zijn eigen dossier werkt en bijvoorbeeld gebruikt worden om informatie te verkrijgen bij een beveiligingsincident.
6. BEVEILIGING BEDRIJFSVOERING
6.1 Beveiligd netwerk
6.1 Beveiligd netwerk
6.1.1 Netwerktekening VISMA Verzuim
6.2 Beveiligde gebieden
6.3 Bescherming malware
Preventieve en detecterende maatregelen zijn getroffen ter bescherming tegen kwaadaardige software. Deze maatregelen betreffen o.a. computervirussen, netwerkwormen, Trojaanse paarden, logische bommen en spyware. Via patchingsmanagement door onze ICT-medewerker wordt gewaarborgd dat de virusdefinities van de virusscanner actueel zijn.
6.4 Mobiele apparatuur en telewerken (+ beleid)
Medewerkers van Grip Verzuimservice werken plaats onafhankelijk met een laptop en gebruiken regelmatig mobiele devices.
Preventieve en detecterende maatregelen zijn getroffen ter bescherming tegen kwaadaardige software. Deze maatregelen betreffen o.a. computervirussen, netwerkwormen, Trojaanse paarden, logische bommen en spyware. Via patchingsmanagement door onze ICT-medewerker wordt gewaarborgd dat de virusdefinities van de virusscanner actueel zijn.
6.4 Mobiele apparatuur en telewerken (+ beleid)
Medewerkers van Grip Verzuimservice werken plaats onafhankelijk met een laptop en gebruiken regelmatig mobiele devices.
6.5 Installeren software en bescherming mailware
We hanteren binnen Grip Verzuimservice een BOYD beleid. Alle medewerkers gebruiken een
eigen laptop. Enige software vanuit Grip Verzuimservice is VISMA Verzuim. We eisen van onze
medewerkers een actueel en adequaat beleid tegen virussen en malware.
6.6 Clear Screen en Clean desk
Binnen Grip Verzuimservice geldt een ‘Clear desk policy’. Uitgangspunten:
Gevoelige of kritieke bedrijfsinformatie dient achter slot en grendel te worden bewaard, vooral wanneer het kantoor verlaten is.
Computerterminals dienen niet ingelogd te blijven wanneer zij onbeheerd achterblijven en dienen te worden beveiligd door middel van sloten, wachtwoorden of andere maatregelen wanneer zij niet worden gebruikt.
Gevoelige of kritieke informatie dient na het afdrukken onmiddellijk van de printer te worden verwijderd.
Gebruikers dienen ervoor te zorgen dat apparatuur bij hun (tijdelijke) afwezigheid voldoende is beveiligd.
Uitgangspunten:
Wanneer een actieve sessie beëindigd wordt, wordt het screen beveiligd met een passende softwarevergrendeling, bijvoorbeeld een screensaver beveiligd met een wachtwoord; een instelling dwingt af dat de screensaver automatisch actief wordt na 15 minuten van inactiviteit. Wanneer een collega in dezelfde ruimte is dan hoeft het station niet vergrendeld te worden of zich af te melden wanneer de sessie is beëindigd (d.w.z. de PC of het werkstation niet gewoon uitschakelen).
6.7 Papieren dossiers
Alle post komt binnen in Voorthuizen en wordt in een afgesloten brievenbus gedeponeerd. De documenten worden ingescand en toegevoegd aan het werknemersdossier.
Alle vertrouwelijke informatie (inclusief kopieën) worden versnipperd.
De informatie kan bestaan uit:
Wanneer een actieve sessie beëindigd wordt, wordt het screen beveiligd met een passende softwarevergrendeling, bijvoorbeeld een screensaver beveiligd met een wachtwoord; een instelling dwingt af dat de screensaver automatisch actief wordt na 15 minuten van inactiviteit. Wanneer een collega in dezelfde ruimte is dan hoeft het station niet vergrendeld te worden of zich af te melden wanneer de sessie is beëindigd (d.w.z. de PC of het werkstation niet gewoon uitschakelen).
6.7 Papieren dossiers
Alle post komt binnen in Voorthuizen en wordt in een afgesloten brievenbus gedeponeerd. De documenten worden ingescand en toegevoegd aan het werknemersdossier.
Alle vertrouwelijke informatie (inclusief kopieën) worden versnipperd.
De informatie kan bestaan uit:
- toestemmingsverklaringen via bedrijfsarts m.b.t. informatievoorziening aan werkgever;
- informatie curatieve sector;
- medische verslagen;
- keuringsverslagen;
- gehoortest;
- machtigingen;
- gezondheidsverklaringen.
De bedrijfsarts wordt via het systeem op de hoogte gebracht van de ontvangen informatie en dat dit opgenomen is in het werknemersdossier.
Mailberichten met medische informatie worden na verwerking naar de prullenbak verplaatst en direct door medewerker definitief verwijderd.
Documenten die aan het eind van de werkdag niet zijn verwerkt, worden bewaard in een afgesloten brievenbus.
7. KLANT EN LEVERANCIERSRELATIES
7.1 Informatiebeveiliging in leveranciersrelaties
Binnen Grip Verzuimservice zijn verschillende werkzaamheden uitbesteed. Op basis van onze risicoanalyse hebben wij risico’s bepaald en geclassificeerd voordat het beheer van voorzieningen wordt toevertrouwd aan derden. In de SLA/ verwerkingsovereenkomst worden de noodzakelijke beveiligingsmaatregelen aangegeven, de volgende punten komen minimaal aan de orde:
7.1 Informatiebeveiliging in leveranciersrelaties
Binnen Grip Verzuimservice zijn verschillende werkzaamheden uitbesteed. Op basis van onze risicoanalyse hebben wij risico’s bepaald en geclassificeerd voordat het beheer van voorzieningen wordt toevertrouwd aan derden. In de SLA/ verwerkingsovereenkomst worden de noodzakelijke beveiligingsmaatregelen aangegeven, de volgende punten komen minimaal aan de orde:
- continuïteit van de applicatie
- beveiligingsmaatregelen en een proces om te controleren of deze maatregelen worden nageleefd
- het toewijzen van specifieke verantwoordelijkheden en procedures om alle relevante beveiligingsactiviteiten effectief te kunnen controleren
- de verantwoordelijkheden en procedures voor het rapporteren en behandelen van beveiligingsincidenten
- geheimhoudingsverklaring van personen die toegang hebben
- Organisatie moet ISO 27001 of NEN 7510 bezitten als er medische gegevens verwerkt worden.
- Inloggen moet minimaal via 2way authenticatie.
7.2 Beheer van dienstverlening leveranciers
Grip Verzuimservice werkt ten behoeve van de applicatie Verzuimsignaal samen met derden. De eisen op deze dienstverlening en privacy zijn vastgelegd in een SLA en een aparte verwerkingsovereenkomst. Minimaal eenmaal per jaar evalueren wij deze overeenkomsten.
7.3 Verwerkingsovereenkomst met klanten
Grip Verzuimservice verzameld privacygevoelige en medische informatie van klant. Het is dus ook zaak dat er goede afspraken gemaakt worden over de bescherming van deze data. De meeste voorkomende vorm waarin afspraken over het werken met persoonsgegevens tussen twee organisaties wordt vastgelegd, is door middel van het opstellen van een verwerkersovereenkomst. Conform de AVG is het verplicht om tussen een verwerker en een verantwoordelijke een verwerkersovereenkomst op te stellen. Grip Verzuimservice treedt echter in haar dienstverlening jegens haar klanten niet op als verwerker maar als een zelfstandig verantwoordelijke. Dit volgt uit de aard van de dienstverlening en uit de visie van de Autoriteit Persoonsgegevens (AP). Grip Verzuimservice verricht binnen de grenzen van de opdracht zelfstandig haar werkzaamheden en verwerkt derhalve als verantwoordelijke de verstrekte persoonsgegevens.[1] De werkgever is ook aan te wijzen als verantwoordelijke. Nu Grip Verzuimservice niet aan te wijzen is als verwerker maar als verantwoordelijke en de werkgever ook, is een verwerkersovereenkomst in de zin van de AVG niet verplicht. Een verwerkersovereenkomst zou geen juridische waarde hebben. Grip Verzuimservice wil echter toch afspraken maken waarin wordt vastgelegd hoe omgegaan wordt met de verstrekte persoonsgegevens. Dit doen wij door middel van een Data Uitwissel Overeenkomst tussen twee verantwoordelijken. Hiertoe heeft Grip Verzuimservice een overeenkomst opgesteld.
[1] De Autoriteit Persoonsgegevens heeft in het rapport ‘Onderzoek naar de verstrekking van medische gegevens van werknemers aan werkgevers door arbodienst Perspectief Group B.V.’ uit 2013 bevonden dat een arbodienst een (verwerkings)verantwoordelijke is. Volgens de AP is een arbodienst de partij die het doel en middelen van de verwerking bepaalt en daarmee aan te merken als verantwoordelijke volgens de Wbp. Deze visie blijft onder de AVG gehandhaafd. Een Arbodienst is dus ook een verwerkingsverantwoordelijke.
7.4 Informatie aan klanten en cliënten
De wijze waarop Grip Verzuimservice omgaat met persoonsgegevens is geregeld conform de AVG. Het privacystatement is geplaatst op de website. Hiermee worden klanten, medewerkers en derden geïnformeerd over de manier waarop Grip Verzuimservice met persoonsgegevens omgaat. Daarnaast heeft Grip Verzuimservice een privacyreglement opgesteld, dit reglement is vrij opvraagbaar voor alle klanten en haar medewerkers.
7.5 Uitoefening privacy rechten door een medewerker
7.5.1 Inzage in dossier
De werknemer heeft het recht om zijn/haar medisch dossier in te zien of hier een afschrift van te vragen. Dit geldt ook voor de schriftelijke informatie in het dossier die is verkregen van andere (behandelende) artsen. Maar het geldt niet als de informatie in het dossier over andere personen gaat en de privacy van anderen schendt. De persoonlijke werkaantekeningen van de bedrijfsarts maken geen deel uit van het medisch dossier en vallen daarmee ook buiten het inzagerecht van de werknemer. Vooraf gaand aan het inzage recht wordt door de Verzuimassistent contact gelegd en toestemming gevraagd aan de verantwoordelijke bedrijfsarts. Het dossier wordt uitgeprint via een beveiligde e-mail (met 2way aut) verstuurd aan de medewerker. Onze interne procedure:
7.4 Informatie aan klanten en cliënten
De wijze waarop Grip Verzuimservice omgaat met persoonsgegevens is geregeld conform de AVG. Het privacystatement is geplaatst op de website. Hiermee worden klanten, medewerkers en derden geïnformeerd over de manier waarop Grip Verzuimservice met persoonsgegevens omgaat. Daarnaast heeft Grip Verzuimservice een privacyreglement opgesteld, dit reglement is vrij opvraagbaar voor alle klanten en haar medewerkers.
7.5 Uitoefening privacy rechten door een medewerker
7.5.1 Inzage in dossier
De werknemer heeft het recht om zijn/haar medisch dossier in te zien of hier een afschrift van te vragen. Dit geldt ook voor de schriftelijke informatie in het dossier die is verkregen van andere (behandelende) artsen. Maar het geldt niet als de informatie in het dossier over andere personen gaat en de privacy van anderen schendt. De persoonlijke werkaantekeningen van de bedrijfsarts maken geen deel uit van het medisch dossier en vallen daarmee ook buiten het inzagerecht van de werknemer. Vooraf gaand aan het inzage recht wordt door de Verzuimassistent contact gelegd en toestemming gevraagd aan de verantwoordelijke bedrijfsarts. Het dossier wordt uitgeprint via een beveiligde e-mail (met 2way aut) verstuurd aan de medewerker. Onze interne procedure:
De patiënt dient een verzoek tot inzage van zijn medisch dossier in bij zijn behandelend arts, door middel van e-mail.
Voordat inzage plaats vindt, ziet de behandelend arts het medisch dossier na op vertrouwelijke informatie, die de privacy van anderen zou kunnen schaden en op de aanwezigheid van persoonlijke werkaantekeningen. Deze gegevens dienen voor inzage afgeschermd te worden.
De Verzuimassistent maakt een kopie van het medisch dossier en mailt de medewerker dat dit opgehaald kan worden.
Als een kopie van het medisch dossier wordt opgehaald, op een fysieke locatie van Grip Verzuimservice, moet de werknemer zich legitimeren met een geldig identiteitsbewijs; paspoort, identiteitskaart of rijbewijs. De Verzuimassistent noteert het soort legitimatiebewijs in het medisch dossier.
7.5.2 Rectificatie en aanvulling
Het dossier kan worden uitgebreid met een door de client afgegeven verklaring met betrekking tot de in het dossier opgenomen stukken. De client kan hiermee bereiken dat er naar zijn mening een volledig en juist beeld van zijn persoon of gezondheidstoestand wordt geschetst. Het kan daarbij gaan om afwijkende of aanvullende zienswijzen van de client zelf of van een andere arts, bijvoorbeeld in het kader van een 'second opinion'. De client kan de arts eveneens verzoeken feitelijke onjuistheden in de gegevens te corrigeren of om voor de behandeling niet relevante gegevens te laten verwijderen. De arts dient een weigering van het verzoek schriftelijk te motiveren. Als een arts (of andere hulpverlener) deze gegevens niet wil aanpassen, kan de client om uitleg vragen. Blijft de client het oneens met deze beslissing, dan kan hij/zij een klacht indienen.
7.5.3 Vernietigen
De client kan vragen (een deel van) zijn dossier te laten vernietigen. De arts hoeft aan dit verzoek niet te voldoen als:
7.5.2 Rectificatie en aanvulling
Het dossier kan worden uitgebreid met een door de client afgegeven verklaring met betrekking tot de in het dossier opgenomen stukken. De client kan hiermee bereiken dat er naar zijn mening een volledig en juist beeld van zijn persoon of gezondheidstoestand wordt geschetst. Het kan daarbij gaan om afwijkende of aanvullende zienswijzen van de client zelf of van een andere arts, bijvoorbeeld in het kader van een 'second opinion'. De client kan de arts eveneens verzoeken feitelijke onjuistheden in de gegevens te corrigeren of om voor de behandeling niet relevante gegevens te laten verwijderen. De arts dient een weigering van het verzoek schriftelijk te motiveren. Als een arts (of andere hulpverlener) deze gegevens niet wil aanpassen, kan de client om uitleg vragen. Blijft de client het oneens met deze beslissing, dan kan hij/zij een klacht indienen.
7.5.3 Vernietigen
De client kan vragen (een deel van) zijn dossier te laten vernietigen. De arts hoeft aan dit verzoek niet te voldoen als:
Redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de client (bijvoorbeeld bij blootstelling aan kankerverwekkende stoffen, kan een belanghebbende aandringen op bewaring van de gegevens);
Een bepaling in een andere wet hem dwingt tot bewaring van de gegevens.
Weigering van een dergelijk verzoek moet door de hulpverlener schriftelijk onderbouwd worden.
8. BIJLAGEN
8.1 Autorisatieschema VISMA Verzuim
Ons digitale verzuimsysteem kent een aantal gebruikersrollen. Afhankelijk van de rol heeft een gebruiker wel of geen toegang tot documenten die zich in een dossier van een cliënt bevinden. Hieronder wordt beschreven wat een gebruiker wel en niet mag inzien.
Autorisaties klantrol:
8.1 Autorisatieschema VISMA Verzuim
Ons digitale verzuimsysteem kent een aantal gebruikersrollen. Afhankelijk van de rol heeft een gebruiker wel of geen toegang tot documenten die zich in een dossier van een cliënt bevinden. Hieronder wordt beschreven wat een gebruiker wel en niet mag inzien.
Autorisaties klantrol:
Autorisaties Grip Verzuimservice
8.2 Autorisatieprocedure VISMA Verzuim
Nieuwe autorisatie
Nieuwe autorisatie
Arts: De directeur dient op basis van de autorisatiematrix een aanvraag voor een medische account in bij de functioneel beheerder van VISMA Verzuim. In aanvraag wordt de rol van de nieuwe medewerker benoemd.
Casemanager TD of verpleegkundige: Toekenning van autorisatie verloopt via het ondertekenen van een Verklaring Afgeleid Medisch Beroepsgeheim. Na ondertekening door de directeur en de nieuwe medewerker van Grip Verzuimservice wordt de aanvraag voor een medische of Taak-delegatie account ingediend bij de functioneel beheerder. Hierbij is het bijvoegen van de Verklaring Afgeleid Medisch Beroepsgeheim een vereiste om het account te kunnen activeren. In deze Verklaring wordt de rol van de nieuwe medewerker benoemd.
Beheer autorisaties
Beheer van autorisaties - eigen gebruikers
Bij in-, en uitdiensttreding van medewerkers worden accounts toegekend en afgesloten. Dit proces is onderdeel van het indiensttredingtraject en uitdiensttredingstraject.
8.3 Instructie datalekken
In deze instructie is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. Grip Verzuimservice heeft zich hierbij geconformeerd aan de hiervoor geldende beleidsregels van de Autoriteit Persoonsgegevens.
Wat is een beveiligingsincident?
Voorbeelden van beveiligingsincidenten zijn:
- Het kwijtraken van een USB-stick;
- Diefstal van een laptop of telefoon;
- Het verliezen van persoonsgegevens op papier;
- Onbevoegde toegang tot een gebouw/locaties/ruimten/kasten;
- Inbraak in het computersysteem door een hacker;
- Het verlies van gegevens ten gevolge van een virus;
- Het doorgeven van persoonsgegevens aan iemand die het niet had moeten ontvangen
(bijvoorbeeld het sturen van (medische) gegevens aan de verkeerde werknemer;
- Het kwijtraken van wachtwoorden die toegang geven tot een gegevensbestand;
- Het kwijtraken van (papieren) gegevens door water- of brandschade.
Wat is een datalek?
Niet ieder beveiligingsincident is ook een datalek. Als alleen sprake is van een zwakke plek in de beveiliging, is er sprake van een beveiligingslek en niet van een datalek. Er is sprake van een datalek als bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, als er een aanzienlijke kans is dat ze verloren gaan of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kan worden uitgesloten.
Melden aan de Autoriteit Persoonsgegevens
De FG en de directeur zijn verantwoordelijk voor het melden van een datalek. Bij de beslissing of er sprake is van een datalek dat moet worden gemeld aan de Autoriteit Persoonsgegevens moet een aantal afwegingen worden gemaakt. Het onderstaande schema geeft deze afwegingen weer.
Als het gaat om de afweging of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, dan geldt voor medische gegevens dat dit al snel het geval is. De reden hiervan is dat het om bijzondere persoonsgegevens gaat volgens de AVG, namelijk over gezondheid.
In het algemeen geldt:
Hoe gevoeliger de gegevens, hoe eerder er een meldplicht is, hoe groter het aantal getroffen mensen, hoe eerder er moet worden gemeld. De meldplicht datalekken is niet van toepassing indien de AVG niet van toepassing is (bijvoorbeeld bij de verwerking van persoonsgegevens voor persoonlijke of huishoudelijke doeleinden).
Het informeren van de betrokkene
De wet Meldplicht Datalekken geeft bovendien aan dat er een melding moet worden gedaan aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Hierbij valt bijvoorbeeld te denken aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits-)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan zal het datalek niet alleen aan de Autoriteit Persoonsgegevens gemeld moeten worden, maar ook aan betrokkene. Echter, ook gegevens van medewerkers en organisatiegegevens kunnen zeer gevoelig zijn en kunnen gevolgen hebben voor de persoonlijke levenssfeer van betrokkenen. Een zorgvuldige beoordeling hierin is belangrijk. Als de gegevens voldoende beschermd zijn (bijvoorbeeld versleuteld) zodat niet te achterhalen is om wiens gegevens het gaat dan hoeft dit niet aan de betrokkene te worden gemeld.
Boete
Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze boete bedraagt maximaal 820.000 euro (bedrag per 1 januari 2016).
Functionaris gegevensbescherming
Binnen Grip Verzuimservice is een Functionaris Gegevensbescherming (FG) aangesteld. Deze ziet toe op een juiste verwerking van persoonsgegevens en afhandeling van datalekken. Deze functionaris is: Dhr Drs WJN Marsden.
Stappenplan wat te doen bij een (mogelijk) datalek:
In het algemeen geldt:
Hoe gevoeliger de gegevens, hoe eerder er een meldplicht is, hoe groter het aantal getroffen mensen, hoe eerder er moet worden gemeld. De meldplicht datalekken is niet van toepassing indien de AVG niet van toepassing is (bijvoorbeeld bij de verwerking van persoonsgegevens voor persoonlijke of huishoudelijke doeleinden).
Het informeren van de betrokkene
De wet Meldplicht Datalekken geeft bovendien aan dat er een melding moet worden gedaan aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Hierbij valt bijvoorbeeld te denken aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits-)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan zal het datalek niet alleen aan de Autoriteit Persoonsgegevens gemeld moeten worden, maar ook aan betrokkene. Echter, ook gegevens van medewerkers en organisatiegegevens kunnen zeer gevoelig zijn en kunnen gevolgen hebben voor de persoonlijke levenssfeer van betrokkenen. Een zorgvuldige beoordeling hierin is belangrijk. Als de gegevens voldoende beschermd zijn (bijvoorbeeld versleuteld) zodat niet te achterhalen is om wiens gegevens het gaat dan hoeft dit niet aan de betrokkene te worden gemeld.
Boete
Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze boete bedraagt maximaal 820.000 euro (bedrag per 1 januari 2016).
Functionaris gegevensbescherming
Binnen Grip Verzuimservice is een Functionaris Gegevensbescherming (FG) aangesteld. Deze ziet toe op een juiste verwerking van persoonsgegevens en afhandeling van datalekken. Deze functionaris is: Dhr Drs WJN Marsden.
Stappenplan wat te doen bij een (mogelijk) datalek:
